Nikita Suklich @w3cproject
CTO, Software Engineer
Information
- Rating
- Does not participate
- Location
- Стамбул, Стамбул, Турция
- Date of birth
- Registered
- Activity
Specialization
Fullstack Developer, Chief Technology Officer (CTO)
Lead
From 400,000 ₽
Development management
Python
React
TypeScript
PHP
Linux
Technical director
Спасибо за статью, токены заработали.
Только есть один момент, с которым сразу столкнулся: при включения режима "лобби", если выйти из комнаты, будучи модератором (по токену), в которой останутся другие участники (не модераторы), обратно в эту комнату уже не войти. Будешь модератором ожидать подтверждения входа в комнату, пока последний участник не выйдет из нее)
Понятно, что это не баг, а фича. Просто так работает лобби в jitsi.
Наверное, решается изменением логики работы лобби и токенов в
prosody-modules/{}.lua
, но в стартовом состоянии работает именно так.Кто такой, чем знаменит?
«Предлагаю запретить слова. Есть информация, что с помощью них общаются террористы» ©
Хаха, спасибо за это)
Я ответил, что у него очень интересный поход в работе, что я только сел за ПК и пожелал ему удачи, но уже был в ЧС.
Об этом я в статье не упомянул, т.к. сообщение все равно не было прочитано.
Не спорю, но это не та ошибка, которую можно отнести к «доработкам и исправлениям». Её в принципе быть не должно еще ДО того, как проект был начат. имхо
Все верно, но, возможно, Вы удивитесь, когда узнаете, что вся забота о безопасности проявлялась лишь в уведомлениях и рекомендациях самого фреймворка (yii), где, по какой — то причине, не было ни слова об исполнении php скриптов в публичных директориях проекта.
Не нанимали, просто скинули информацию для ознакомления, а я сказал, что посмотрю. На этом все.
Как выяснилось — он скидывал её всем подряд без разбора. В итоге его заблокировали на linkedin за рассылку спама, полагаю.
До сих пор не объяснили мне где же я нагадил.
Я не оказал ему никаких своих услуг, кроме тех, что описаны в статье.
И да, у меня были клиенты намного грубее и вспыльчивее, но с ними все ограничивалось добавлением в ЧС. Здесь просто как — то вышло само собой)
И дело не в самом человеке или в том, что он мне написал. У меня всегда был «спортивный интерес» к выявлению уязвимостей, который всегда заканчивался словом «спасибо», а иногда даже денежной премией от владельцев проектов.
Это какие? Все что у меня было — это доска в трелло. Доступов там не было.
Вам нужно уточнить значение понятия «месть». Да, я делал все не из благородных побуждений, но и вредить никому не собирался.
Есть как минимум 2 человека, которые написали мне после этой статьи и предоставили скриншоты переписки с этим человеком. В этих переписках он занимался «непотребствами» с мамами разработчиков.
Как выяснилось такие сообщения получил не один я и у меня есть реальные скриншоты от других разработчиков, после написания это статьи.
Да и в целом, в корне не согласен с тем, что можно оправдывать такое поведение человека (любого), если у него начались спазмы в желудке.
Возможно, для Вас является нормой хлопать дверьми и платить людям их же монетой, для меня нет.
Ответил я ему очень даже позитивно, без грубых выражений и пожелал успехов в работе. Но к этому времени я уже был в ЧС.
Интересная такая тайна, выствленная на всеобщее обозрение на хабре.
Это максимум отчасти неэтично, с точки зрения изначальной моей реакции.
Непрофессионально — это нарушить работу сайта, из — за чего могут пострадать другие люди, использовать его для арбитража, продать данные на черном рынке и т.д.
Репутация = один из способов подобраться к умению зарабатывать деньги.
Умение зарабатывать деньги = деньги.
Вы слишком однозначны и односложны в своих высказываниях.
Полностью согласен. Хорошо, что я никому не нагадил.
«Уделяйте безопасности ваших проектов больше внимания» — единственная мысль, которую я хотел донести.
Но в процессе описания предыстории, видимо, увлекся и мораль была немного размыта…
В следующей стате постараюсь исправить свои ошибки и постараюсь написать о чем то, менее провокационном.
Один из читателей пару часов назад скинул мне скриншоты его переписки с этим же клиентом, где этот самый клиент "занимается непотребствами с его мамой" и т.д…
Полагаю, если поискать, мы найдем с десяток подобных случаев от этого человека.
Там всего лишь один текстовый файл с описанием уязвимости в двух предложениях.
Я думал этот мульт умер еще лет так 15 назад
Обещаю немного возместить Ваши потери, как только хабр даст мне такую возможность.
По поводу душевных людей — забыл сказать, что на linkedin у него в этой компании должность «Упарвляющий директор» )
Никто, абсолютно никто не пострадал, за исключением, возможно, одного из разработчиков, который увидел текстовый файл в корне сайта, с описанием уязвимости и рекомендациями изменить доступы к проекту и испытал небольшой дискомфорт от увиденного.
Первая статья, первый фидбек, первые минусы :D
И я бы не назвал это «местью», тем более что по итогу я указал на эту уязвимость без ущерба проекту.
Так было всегда, главное завернуть это в красивую упаковочку и назвать это «Знаменательным событием».